Trojan.Mutabaha.1 устанавливает поддельный Chrome

Trojan.Mutabaha.1 устанавливает поддельный Chrome

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца – Trojan.Mutabaha.1. Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах.

Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ троянца, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера, пишет news.drweb.ru.

Этот браузер имеет собственное имя — Outfire — и представляет собой специальную сборку Google Chrome. В процессе установки он регистрируется в реестре Windows, а также запускает несколько системных служб и создает задачи в Планировщике заданий, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены. Напоследок Trojan.Mutabaha.1 проверяет наличие в системе других версий браузеров, аналогичных своей собственной, генерируя их имена с помощью комбинации значений из двух списков-словарей. Всего таких вариантов насчитывается 56. Обнаружив другую версию браузера, Trojan.Mutabaha.1 сравнивает его имя с собственным (чтобы случайно не удалить самого себя), а потом при помощи системных команд останавливает процессы этого браузера, удаляет его записи из Планировщика заданий Windows и вносит соответствующие изменения в системный реестр.

Установленный таким способом в системе поддельный браузер при запуске демонстрирует стартовую страницу, изменить которую в его настройках невозможно. Кроме того, он содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Помимо этого, браузер Outfire использует по умолчанию собственную службу поиска в Интернете, но ее при желании можно изменить в настройках приложения.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

InfoWatch EndPoint Security 13.1 улучшает алгоритмы шифрования

Группа компаний (ГК) InfoWatch, российский разработчик комплексных решений в сфере информационной безопасности (ИБ) предприятий, сообщает о выпуске InfoWatch EndPoint Security 13.1 — решения для мониторинга и контроля целостности рабочих станций и информационных ресурсов организаций с улучшенными алгоритмами шифрования. Продукт позволяет контролировать доступ сотрудников к различным устройствам и программам, автоматически шифрует данные для защиты от несанкционированного доступа, в том числе по ГОСТу, и обеспечивает аудит информационных систем организации.

Для удобного и быстрого мониторинга использования ИТ-инфраструктуры предприятий, продукт InfoWatch EndPoint Security с помощью инструмента «Insight» создает наглядные отчеты, которые позволяют оценить и спрогнозировать использование сотрудниками рабочих станций, оргтехники, различных накопителей информации, сетевых и интернет-ресурсов, программных приложений.

«Программный продукт InfoWatch EndPoint Security позволяет предприятиям выполнить ряд базовых шагов по построению систем защиты, — отметил руководитель направления InfoWatch Endpoint Security Сергей Поздняков. — Решение проводит аудит всех информационных систем в организации, позволяет определить узкие места в ИТ-инфраструктуре и выявить неправомерные действия сотрудников, установить правила для отслеживания легитимных действий и инцидентов информационной безопасности. При этом, настроенные службой ИБ политики безопасности применяются на устройствах, где установлен агент, даже если компьютер находится за пределами компании и не имеет подключения к сети».

Решение InfoWatch EndPoint Security предоставляет возможность разграничивать права доступа сотрудников к устройствам и сетевому окружению, например, флэш-накопителям, локальным дискам, принтерам, и к программам, создавая черные и белые списки, а также контролировать операции с конкретными типами файлов. Кроме того, программный продукт позволяет ограничивать скачивание данных через браузер, доступ к облачным хранилищам и передачу документов в мессенджер Skype.

Новая версия InfoWatch EndPoint Security 13.1 содержит улучшенные алгоритмы и способы шифрования данных.

«Съемные носители, ноутбуки, облачные хранилища — это, как правило, наиболее уязвимые звенья корпоративной ИТ-инфраструктуры, где сотрудники часто хранят большие объемы конфиденциальной информации, — сказал Сергей Поздняков. — Такие каналы часто привлекают внимание злоумышленников, подвержены постороннему доступу и потере контроля над ними с последующей компрометацией данных. Поэтому без должного уровня защиты возникают риски, которые могут вести к репутационным и финансовым потерям. InfoWatch EndPoint Security шифрует файлы в локальных каталогах ноутбуков и ПК, на внешних устройствах, в сетевых каталогах и в облачных хранилищах и тем самым обеспечивает целостность и конфиденциальность данных. Доступ к данным возможен только пользователям, установленным политиками безопасности. Шифрование данных не нарушает обычную работу устройства и может производиться как автоматически в фоновом режиме, так и самим пользователем или офицером безопасности с помощью контекстного меню».

Решение позволяет настраивать доступ к зашифрованным данным в зависимости от потребностей и бизнес-процессов организации, например, при индивидуальном шифровании  файл будет доступен только конкретному пользователю, а для предоставления доступа определенному кругу лиц доступна функция шифрования по группам.

Для выполнения криптографических операций в операционной системе продукт может использовать как базовый криптопровайдер Windows, так и сторонний криптопровайдер, который позволяет использовать стандарт шифрования ГОСТ 28147-89.

Решение может интегрироваться с DLP-системой InfoWatch Traffic Monitor и дополнять ее данными о действиях пользователей. InfoWatch EndPoint Security направляет в DLP-систему теневые копии файлов при их копировании на съемные носители. Кроме того, продукт позволяет отслеживать изменения, связанные с аппаратной частью рабочего места сотрудника, например, замену жестких дисков, модулей оперативной памяти или графических адаптеров.

Интеграция InfoWatch EndPoint Security в инфраструктуру организации предполагает развертывание программного агента на компьютерах сотрудников, а также установку сервера управления для работы ИБ-специалистов. Для установки агента InfoWatch EndPoint Security на устройстве требуется 1 ГБ свободного места на диске и 512 МБ оперативной памяти. Программный продукт быстро масштабируется на любое количество станций.

Дополнительно о ключевых особенностях продукта вы можете узнать здесь.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru